Samba 存在 BitLocker 恢复密钥泄漏漏洞

漏洞描述

Samba 是一个用于 Linux/UNIX 系统的开源软件，用于实现与 Windows 系统之间的文件和打印机共享功能，Active Directory (AD)是 Windows 系统中用于管理网络资源访问的一种服务，BitLocker 用于对 Windows 系统中的硬盘驱动器/数据进行加密。

由于 CVE-2018-10919 中对 LDAP 过滤器导致的机密属性泄露问题修复不完整，攻击者可以发现访问控制的 AD LDAP 属性，进而从 Samba AD DC 服务器中获取 BitLocker 恢复密钥。用户可通过避免在 Active Directory 中存储除 AD 操作所需的密钥以外的机密信息缓解此漏洞。

漏洞名称	Samba 存在 BitLocker 恢复密钥泄漏漏洞
漏洞类型	信息暴露
发现时间	2023-04-04
漏洞影响广度	广
MPS编号	MPS-2023-3557
CVE编号	CVE-2023-0614
CNVD编号	-

影响范围

samba@[4.18.0, 4.18.1)

samba@(-∞, 4.16.10)

samba@[4.17.0, 4.17.7)

修复方案

升级samba到 4.16.10 或 4.17.7 或 4.18.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-3557

https://www.samba.org/samba/security/CVE-2023-0614.html

https://nvd.nist.gov/vuln/detail/CVE-2023-0614

https://ubuntu.com/security/CVE-2023-0614

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc